Security Tips | ||
未登録機器のイーサネット接続をブロック - ip-sentinel りょうわあきら |
不正な持ち込みPCを何とかして、検出や排除をできないか。LANのデファクトとなったイーサネットは、基本的に接続時の認証やアクセス制限ができないネットワークである。物理的な差込口にアクセスすれば、誰でも自由に通信できてしまう。DHCPなどで自動的なIPアドレス割り当てをしている場合はなおさらである。
LANへの無断接続をなんとかブロックしたいという場合に、役に立つかもしれないツールがip-sentinelである。ip-sentinelは、MACアドレスをIPアドレスと対応させるプロトコルであるARPを巧みに用いることで、MACアドレスベースでネットワークにつながる機器の通信を制限するツールである。
ip-sentinelがハブにつながる機器の通信を制限する仕組みは次のとおりである。
(1)不正ホストMがip-sentinelによって制限対象となっているIPアドレス「192.168.0.1」を使って、ネットワークに参加しようとする。
(2)既にネットワークに存在するホストA(192.168.0.2)がこのホストMと通信しようとすると、ホストAはARPリクエスト“who-has 192.168.0.1”を送出する。
(3)不正ホストMは“M is-at ...”というARP応答を送出し、自身のMACアドレスをAに通知する。
(4)この時、ip-sentinelは(2)におけるリクエストをチェックしており、不正ホストMの代わりにでたらめなMACアドレス「aa:aa:aa:aa:aa:aa」を使い、“M is-at aa:aa:aa:aa:aa:aa”を数回送出する。
ip-sentinelにより生成されるでたらめなMACアドレスは、既存アドレスと重複しないものが生成される。またMAC floodingにならないよう32個程度に抑えられるようになっている |
(5)ホストAは両方の応答を受信し、そして最後に受信した応答を格納することになる。
(6)ip-sentinelのARP応答は不正ホストMの応答より遅れることになるので、ホストAはMのMACアドレスを「aa:aa:aa:aa:aa:aa」だと認識してしまう。このため不正ホストMは既存のホストAと通信を開始することができなくなる。
実際には、最近のWindowsなどでは(6)の段階でアドレスの衝突を検出して、そのアドレスが利用できなくなるだろう。
ip-sentinelの仕組み |
ではip-sentinelの使い方を解説したい。ip-sentinelは次のサイトから入手できる。
【ip-sentinel】 http://www-user.tu-chemnitz.de/~ensc/ip-sentinel/ |
ソースを展開してコンパイルする。
$ bzip2 -d -c ip-sentinel-0.9.tar.bz2
|tar xvf - |
make checkでテストが正常に終わればコンパイルはうまくいっているはずだ。インストールするにはこのままmake installしてもよいが、checkinstallを使用してRPMパッケージ化してインストールすることもできる。また、同梱されているSPECファイルを使用してもいいだろう。
make installした場合、実行ファイルは/usr/local/sbin/ip-sentinelとしてインストールされる。ip-sentinelはchrootに対応しているので、実行前に適当なユーザー/グループとディレクトリを作成し、その中に設定ファイルを作成しておく。例えば、ユーザー:ip-sentinal、グループ:ip-sentinel、ディレクトリ:/usr/local/ip-sentinalなどだ。
特定のIP/MACアドレスを持つ機器以外からの接続を拒否する設定は次のようになる。
/usr/local/ip-sentinal/ips.cfg |
設定ファイルの記述方法の詳細は、ip-sentinalのmanページを参照してほしい。設定ファイルを作成後、次のようにip-sentinelを起動する。
# su |
正常に起動していれば、未登録端末のブロックが開始される。動作状況については、-lオプションで指定したログファイルに次のように記録される。
/usr/local/ip-sentinel/ips.log |
ブロック動作が確認でき、登録済み機器の通信状況に影響が出ていないことが確認できたら、起動スクリプトに登録するなどしておけばいい。ソースにはsysv-init用の起動スクリプトサンプルが付属しているので、それらを用いてもいい。
なお、ip-sentinelはその性質上、誤った設定でネットワークに接続すると同一ブロードキャストセグメントにおいて大規模なネットワーク障害を発生させてしまう。実際に使用する前には入念なテストが必要なことはいうまでもない。また、ARPという仕組みを使用している以上、MACアドレス詐称を行った不正接続 についてまでは対応できない。本格的な接続制限を行いたい場合には、認証VLAN などの導入が必要だ。こうした仕組みを十分理解した上で有効活用していただき たい。
Security Tips Index |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|